על פי חוק בטיחות המוצר ותשתיות התקשורת 2023 שהוצא על ידי בריטניה ב-29 באפריל 2023, בריטניה תתחיל לאכוף את דרישות אבטחת הרשת עבור התקני צרכנים מחוברים החל מה-29 באפריל 2024, החלות על אנגליה, סקוטלנד, ויילס וצפון אירלנד. נכון לעכשיו, חלפו רק יותר מ-3 חודשים, ויצרנים גדולים המייצאים לשוק הבריטי צריכים להשלים אישור PSTI בהקדם האפשרי כדי להבטיח כניסה חלקה לשוק הבריטי. צפויה תקופת חסד של 12 חודשים ממועד ההודעה ועד ליישום.
מסמכי חוק 1.PSTI:
①משטר אבטחת המוצר ותשתיות התקשורת (אבטחת מוצר) בבריטניה.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②חוק אבטחת מוצרים ותשתיות טלקומוניקציה 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③תקנות אבטחת המוצר ותשתית הטלקומוניקציה (דרישות אבטחה למוצרים רלוונטיים לחיבור) 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. הצעת החוק מחולקת לשני חלקים:
חלק 1: לגבי דרישות בטיחות המוצר
טיוטת פקודת בטיחות המוצר ותשתיות התקשורת (דרישות אבטחה למוצרים קשורים קשורים) שהוצגה על ידי ממשלת בריטניה בשנת 2023. הטיוטה מתייחסת לדרישות של יצרנים, יבואנים ומפיצים כגורמים מחויבים, ויש לה את הזכות להטיל קנסות של עד 10 מיליון ליש"ט או 4% מההכנסות העולמיות של החברה על מפרים. חברות שימשיכו להפר את התקנות ייקנסו גם ב-20,000 פאונד נוספים ליום.
חלק 2: הנחיות תשתית טלקומוניקציה, שפותחו כדי להאיץ את ההתקנה, השימוש והשדרוג של ציוד כזה
סעיף זה מחייב יצרני, יבואנים ומפיצים של IoT לעמוד בדרישות ספציפיות של אבטחת סייבר. הוא תומך בהחדרה של רשתות פס רחב ו-5G עד ג'יגה-ביט כדי להגן על האזרחים מפני הסיכונים הנשקפים ממכשירים לא בטוחים הקשורים לצרכן.
חוק התקשורת האלקטרונית קובע את זכותם של מפעילי רשתות וספקי תשתיות להתקין ולתחזק תשתית תקשורת דיגיטלית על קרקע ציבורית ופרטית. התיקון של חוק התקשורת האלקטרונית בשנת 2017 הפך את הפריסה, התחזוקה והשדרוג של תשתית דיגיטלית לזולה וקלה יותר. הצעדים החדשים הקשורים לתשתית טלקומוניקציה בטיוטת חוק ה-PSTI מבוססים על חוק התקשורת האלקטרונית המתוקנת משנת 2017, אשר יסייע להבטיח השקה עתידית של רשתות פס רחב ו-5G מכוונות גיגה-ביט.
חוק PSTI משלים את חלק 1 של חוק אבטחת המוצר ותשתיות התקשורת משנת 2022, המגדיר את דרישות האבטחה המינימליות לאספקת מוצרים לצרכנים בריטיים. בהתבסס על ETSI EN 303 645 v2.1.1, סעיפים 5.1-1, 5.1-2, 5.2-1 ו-5.3-13, כמו גם תקני ISO/IEC 29147:2018, תקנות ודרישות מתאימות מוצעות עבור סיסמאות, אבטחה מינימלית עדכון מחזורי זמן וכיצד לדווח על בעיות אבטחה.
היקף המוצר המעורב:
מוצרים הקשורים לאבטחה מחוברים, כגון גלאי עשן וערפל, גלאי אש ומנעולי דלתות, התקני אוטומציה לבית מחובר, פעמוני דלת ומערכות אזעקה חכמים, תחנות בסיס ורכזות IoT המחברים מספר מכשירים, עוזרי בית חכם, סמארטפונים, מצלמות מחוברות (IP ו טלוויזיה במעגל סגור), מכשירים לבישים, מקררים מחוברים, מכונות כביסה, מקפיאים, מכונות קפה, בקרי משחק ומוצרים דומים אחרים.
היקף מוצרים פטורים:
מוצרים הנמכרים בצפון אירלנד, מונים חכמים, נקודות טעינה לרכב חשמלי ומכשור רפואי, וכן טאבלטים למחשב לשימוש מעל גיל 14.
3. תקן ETSI EN 303 645 לאבטחה ופרטיות של מוצרי IoT כולל את 13 הקטגוריות הבאות של דרישות:
1) אבטחת סיסמאות ברירת מחדל אוניברסלית
2) ניהול וביצוע דוחות חולשה
3) עדכוני תוכנה
4) חיסכון חכם של פרמטרי בטיחות
5) אבטחת תקשורת
6) צמצם את החשיפה של משטח ההתקפה
7) הגנה על מידע אישי
8) שלמות תוכנה
9) יכולת מערכת נגד הפרעות
10) בדוק את נתוני הטלמטריה של המערכת
11) נוח למשתמשים למחוק מידע אישי
12) פשט את התקנת הציוד והתחזוקה
13) אמת נתוני קלט
דרישות חוק ו-2 תקנים מתאימים
אסור על סיסמאות ברירת מחדל אוניברסליות - ETSI EN 303 645 הוראות 5.1-1 ו-5.1-2
דרישות ליישום שיטות לניהול דוחות פגיעות - ETSI EN 303 645 הוראות 5.2-1
ISO/IEC 29147 (2018) סעיף 6.2
דרוש שקיפות במחזור זמן עדכון האבטחה המינימלי עבור מוצרים - ETSI EN 303 645 הוראה 5.3-13
PSTI דורשת ממוצרים לעמוד בשלושת תקני הבטיחות לעיל לפני שניתן יהיה להוציאם לשוק. יצרנים, יבואנים ומפיצים של מוצרים נלווים חייבים לעמוד בדרישות הבטיחות של חוק זה. על היצרנים והיבואנים לוודא שהמוצרים שלהם מגיעים עם הצהרת ציות ולנקוט פעולה במקרה של כשל בציות, שמירה על רישומי חקירה וכו'. אחרת, המפרים ייקנסו עד 10 מיליון ליש"ט או 4% מההכנסות העולמיות של החברה.
4.PSTI Act ו-ETSI EN 303 645 תהליך בדיקה:
1) הכנת נתונים לדוגמה
3 סטים של דוגמאות כולל מארח ואביזרים, תוכנה לא מוצפנת, מדריכי משתמש/מפרטים/שירותים קשורים ופרטי חשבון התחברות
2) הקמת סביבת בדיקה
צור סביבת בדיקה המבוססת על המדריך למשתמש
3) ביצוע הערכת אבטחת רשת:
סקירת מסמכים ובדיקות טכניות, בדיקת שאלוני ספקים ומתן משוב
4) תיקון חולשה
לספק שירותי ייעוץ לתיקון בעיות חולשה
5) ספק דוח הערכה של PSTI או דוח הערכה ETSIEN 303645
5. כיצד להוכיח עמידה בדרישות של חוק PSTI בבריטניה?
הדרישה המינימלית היא לעמוד בשלוש הדרישות של חוק ה-PSTI לגבי סיסמאות, מחזורי תחזוקת תוכנה ודיווח על פגיעות, ולספק מסמכים טכניים כגון דוחות הערכה לדרישות אלו, תוך הצהרה עצמית על תאימות. אנו מציעים להשתמש ב-ETSI EN 303 645 להערכת חוק PSTI בבריטניה. זוהי גם ההכנה הטובה ביותר ליישום החובה של דרישות אבטחת הסייבר של האיחוד האירופי CE RED החל מה-1 באוגוסט 2025!
BTF Testing Lab הוא מוסד בדיקות המוסמך על ידי שירות ההסמכה הלאומי של סין להערכת התאמה (CNAS), מספר: L17568. לאחר שנים של פיתוח, ל-BTF מעבדת תאימות אלקטרומגנטית, מעבדת תקשורת אלחוטית, מעבדת SAR, מעבדת בטיחות, מעבדת אמינות, מעבדת בדיקת סוללות, בדיקות כימיות ומעבדות נוספות. בעל תאימות אלקטרומגנטית מושלמת, תדר רדיו, בטיחות המוצר, אמינות סביבתית, ניתוח כשל חומרים, ROHS/REACH ויכולות בדיקה אחרות. מעבדת בדיקות BTF מצוידת במתקני בדיקה מקצועיים ומלאים, צוות מנוסה של מומחי בדיקות והסמכה ויכולת לפתור בעיות בדיקה והסמכה מורכבות שונות. אנו מקפידים על העקרונות המנחים של "הוגנות, חוסר משוא פנים, דיוק וקפדנות" ועוקבים בקפדנות אחר הדרישות של מערכת ניהול מעבדות הבדיקה והכיול ISO/IEC 17025 לניהול מדעי. אנו מתחייבים לספק ללקוחות את השירות האיכותי ביותר. אם יש לך שאלות, אנא אל תהסס לפנות אלינו בכל עת.
זמן פרסום: 16 בינואר 2024
